1、背景
虽然涉密单位涉密网与互联网物理隔离,但由于涉密单位上互联网人员身份特殊性,为了防范通过互联网有意或无意失密泄密,同时又能利用互联网获取技术资料,查询信息,宣传形象,需要通过技术手段对涉密单位互联网上网行为进行控制与审计。
2、主要功能
1)实名制计算机登录控制:只有单位内部人员才能登录计算机并访问互联网,否则禁止登录。实名制通过出入门禁卡进行识别,只有持有单位授权的门禁卡才能登陆(除非另有授权)。
2)U盘信息拷入计算机审计:互联网上网控制的目的是防止敏感信息上传,敏感信息主要来源之一是通过U盘拷入,因此,当U盘信息拷入到计算机时,将记录拷入文件信息,包括拷入文件名、大小、日期等。同时,禁止单位注册认证U盘在上网计算机上使用,当有意或无意使用单位内部注册U盘时,将产生报警并记录注册U盘有关信息。
3)登录网站控制与审计:可定义允许登录的网站;可定义禁止登录的网站;审计系统记录登录网站信息;
4)敏感信息检查和过滤:检查登录计算机是否存储、编辑或上传敏感或禁止的信息,如有,则报警且禁止信息上传。
5)文件加密:提供互联网文件传输安全保护。内嵌有通过测评的文件加密系统,当通过网络传输时,可对传输文件加密,接收方只有获得解密密码和解密工具(解密软件)才能打开加密文件,保证文件通过互联网传输安全。
6)实名制审计:登录者登录计算机后,审计控制台将实名制记录登录人姓名、计算机名称、登录时间/日期等。
7)信息发送审计:邮件审计,QQ聊天审计,博客审计等。
8)审计信息管理:只有审计员或授权人员才能浏览后台审计信息;审计信息加密存储,不可修改;具有统计、查询、打印、导入、导出等能力。
9)备份存储:审计信息和后台管理信息,可定时备份功能或手动备份。
3、系统结构
C/S结构,三部分组成:客户端、管理控制台、服务器。
客户端:包括登录控制软件和读卡器,确保正确的实名制后才允许登录。登陆控制软件驻留在客户端,具有极强的自我保护能力,客户端只能透明、强制使用,不可卸载和绕过;读卡器用于识别登陆者实名身份。
控制台:用于制定策略、审计浏览、备份、导入等操作。
服务器:连接客户端,存储管理需要的有关数据,对客户端的状态进行检测,下发客户端策略,接收客户端上传的信息。
|